Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (3)
07.08.2012 tarihinde Ulusal Bilgi Güvenliği Kapısı’nda yayınlanan ancak artık erişilemediği için kendi sayfamdan paylaştığım bu yazı dizisinin üçüncü bölümü olan bu makalede; Bilgi güvenliği farkındalığının ölçümü için kullanılan yöntemler hakkında literatürden üçüncü örnek olarak Kelime Testi ile Bilgi Güvenliği Farkındalığı Ölçümü açıklanacaktır.
Bir önceki yazıda bilgi güvenliği farkındalık programı veya eğitiminin sonuçları ölçülürken, kullanıcılardan elde edilen bilgi güvenliği farkındalık değerlendirmeleri, sistemden elde edilen kayıtlarla birleştirilmişti. Bu yazıda ise tamamen farklı bir yöntem ile kullanıcıların farkındalık seviyeleri kelime bilgisi ile tespit edilmeye çalışılacak.
Kelime Testi ile Bilgi Güvenliği Farkındalığı Ölçümü [1]
Bu çalışmada ilk olarak bilgi güvenliği kelime testi ile kişinin bilgi güvenliği farkındalığı seviyesinin tespit edilebilmesi konusunda bir fizibilite çalışması yapılmıştır. Buradaki temel düşünce, temel bilgi güvenliği kavramlarını veya terimlerini bilmeyen bir kişinin, güvenlik saldırılarına karşı zaaf göstermesinin daha muhtemel olmasıdır. Bu ihtimalin yanında, kelime bilgisi eksikliğinin farkındalığı arttırmak noktasında önemi büyüktür. Örneğin, oltalama (phishing) gibi bir terimi bilmeyen bir kişiye yönelik hazırlanacak olan bir broşürün, hedeflenen etkiyi göstermesi mümkün değildir. Ancak tek başına bir kelime testi, farkındalık seviyesi konusunda güvenilir bilgi vermeyebilir. Şöyle ki, kişisel bilgilerini başkalarına vermenin doğru olmadığını bilen bir kişi oltalama kelimesinin anlamını bilmeden de doğru kararı verebilir. Bu sebeple yapılan araştırmada, kelime testinin yanında senaryo tipinde sorular sorularak katılımcıların davranışlarının da belirlenmesi hedeflenmiştir.
Bu çalışmada katılımcılara kelime ve senaryo testi olmak üzere iki farklı tipte sorulardan oluşan bir sınav uygulanmıştır. Amaç, kelime testi ile bilgi güvenliği farkındalığını ölçmek amacıyla bir fizibilite çalışması yapmak olduğundan, çalışmada çok az bilinen güvenlik terimlerine yer verilmemiştir. Çalışmada kullanılan kelime soruları örnekleri Tablo1 ve Tablo 2’de gösterilmiştir.
Oltalama (phishing) nedir?
a) Yasal bir e-posta gibi görünen ve kişisel bilgilerinizi talep eden bir e-posta mesajıdır. b) İkna yöntemiyle gizli bilgilerin elde edilmesini amaçlayan bir sosyal mühendislik metodudur. c) Kimlik hırsızlığıdır. d) Yukarıdakilerin hepsidir. e) “Oltalama” nedir bilmiyorum. |
Tablo 1. Örnek kelime sorusu[1]
İstenmeyen e-posta (spam) nedir?a) E-posta veya elektronik mesajın bir diğer adıdır. b) Bir pazarlama tekniğidir. c) Talep edilmeyen veya istenmeyen e-posta mesajıdır. d) Yukarıdakilerin hepsidir. e) “istenmeyen e-posta” nedir bilmiyorum. |
Tablo 2. Örnek kelime sorusu[1]
Senaryo tipinde sorular ile amaç, katılımcıların davranışlarını kelime bilgilerinden bağımsız olarak ölçümlendirilmeye çalışmaktır. Senaryo tipinde örnek bir soru Tablo 3’te görülmektedir.
Bankanızdan gönderilmiş bir e-posta mesajında sizden bir bağlantıyı (link) tıklayarak kişisel bilgilerinizi güncellemeniz istendiğinde, ne yaparsınız? (Birden fazla seçeneği seçebilirsiniz.)
a) E-posta mesajındaki bankanın logosu, adresi ve diğer bütün bilgileri doğru ise istenilen bilgileri veririm. b) Bu e-posta mesajını görmezden gelirim c) İş arkadaşlarım da aynı e-posta mesajını almış ve bilgilerini güncellemişse, ben de aynısını yaparım. d) Bankayı arayıp gönderilen e-posta konusunda bilgi alırım. e) Kurumun bilgi işlem merkezine haber veririm. |
Tablo 3. Örnek Senaryo tipinde soru[1]
Yazıda anlatılan metodun örnek olarak uygulanması sonucunda, katılımcıların bilgi güvenliği farkındalığı görüşleri hakkında ilginç sonuçlar elde edilmiştir. Katılımcılara Şekil 1’de görülen seçeneklerden istedikleri kadar işaretleme hakkı verildiği için sonuçların yüzdelelerinin toplamı 100’ü geçmektedir. Şekil 1’deki sonuçlardan anlaşılabileceği gibi, katılımcıların bir güvenlik olayını nereye bildirecekleri konusunda emin olamadıkları görülmüştür.
Şekil 1. Güvenlik Olayı Bildirimini kime yaparsınız? sorusuna verilen cevap yüzdeleri
Bir diğer soruda katılımcıların parola paylaşım davranışları değerlendirimiş ve sonuçlar Şekil 2’de gösterilmiştir. Şekil 2’de örnek olrak verilen soruda katılımcıların birden fazla seçeneği seçmelerine izin verildiğinden cevap yüzdeleri toplamı 100’ü geçmektedir. Katılımcıların büyük çoğunluğu parolalarını paylaşmamaları gerektiğini bilmelerine rağmen, bir kısım katılımcı sistem yöneticileri ve güvenlik uzmanlarına parolalarını vermekten çekinmedikleri görülmüştür.
Şekil 2. Parolanızı kime verirsiniz? Sorusuna verilen cevap yüzdeleri
Sonuç olarak kelime testi, bilgi güvenliği eğitimi için odaklanılması gereken hedeflerin tespiti için çok önemli veriler sunmaktadır. Çalışmanın asıl amacı olan kelime testi ile bilgi güvenliği farkındalığı seviyesinin belirlenmesi, güvenlik kavramları ve karşılık gelen davranışlar arasındaki ilişkiyle ortaya çıkarılmıştır. Örnek vermek gerekirse, “güçlü şifre” kavramını bilmeyen katılımcıların senaryo tipindeki davranış sorularında da bilgi eksikliğini gösterdikleri görülmüştür. Ancak bu çalışmanın sonuçlarını genellemek mümkün değil, çünkü yapılan çalışma kapsamlı bir araştırma özelliği göstermiyor. Kısıtlı bir katılımcı ve sınırlı sayıdaki kelime ve davranış soruları ile bulunan sonuçları genellemek mümkün değil. Daha kapsamlı ve istatiksel olarak geçerli bir kelime testi farklı hedef kitlelerine uygulanmalı ve sonuçları analiz edilmelidir.
Referanslar
[1] Kruger H.A., Drevin L. & Steyn T. (2010). A vocabulary test to assess information security awareness, Information Management & Computer Security, Vol. 18 Iss:5.
[2] Kruger H.A., Drevin L. & Steyn T. (2006). A framework for evaluating ICT security awareness. Proceedings of the ISSA 2006 from Insight to Foresight Conference, South Africa.
[3] Kruger H.A. & Kearney W.D. (2006). A prototype for assessing information security awareness. Computers & Security vol. 25, p.289-296.
[4]Keeney R.L. (1994). Creativity in decision making with value-focused thinking. Sloan Management Review, Summer:33-41.
Asıl Yayınlanan
“Bilgi Güvenliği Farkındalığı Nasıl Ölçülür? (3)“, 07.08.2012, Ulusal Bilgi Güvenliği Kapısı, TÜBİTAK – BİLGEM – UEKAE.